Sicherheitstoken

  • Hallo zusammen.

    Habe meine Webseite erst vor wenigen Tagen zu netcup.de verlagert und bin bisher positiv überrascht. Es funktioniert bisher alles sehr gut und nachdem ich anfangs zwar starke Probleme im Bezug auf die Übersicht hatte, spielt sich dieses nun zunehmend ein.

    Zwei Dinge stören mich allerdings gerade noch:


    Einerseits dieses verfluchte "Sicherheitstoken", welches mir jedesmal per Email zugesandt wird. Inzwischen würde ich es am liebsten töten und ich frage mich, was diese Scheisse soll ?

    Ich verwende ein sehr sicheres Passwort und das sollte eigentlich auch genügen. Ich bin weder Donald Trump noch Angela Merkel und ich wüsste eigentlich nicht, weshalb ein sehr starkes Passwort nicht ausreichend sein sollte !? Mein Passwort besteht aus 45 Zeichen (Buchstaben klein und gross, Ziffern, Sonderzeichen). Eigentlich sollte man davon ausgehen können, dass es ausreichend ist.


    Andererseits sind es auch die Passwörter selbst und es ist leider an den entsprechenden Stellen nicht gekennzeichnet, welche Anforderungen das zu erstellende Passwort haben kann und muss, also keine Mindestanforderung, als auch keine Anzeige, welche Maximalstärke verwendet werden kann, wieviele Zeichen maximal eingegeben werden können.


    Frage :

    Hat jemand eine Idee, wie ich dieses verfluchte Sicherheitstoken töten kann ?

    Bisher habe ich leider keine entsprechende Funktion gefunden.

    Und NEIN, ich benötige alternativ auch keine 2-Faktor-Authentifizierung. Ich brauche weder das eine, noch das andere !


    Ich verbleibe mit Grüssen an die Forengemeinde und wünsche ein erholsames Wochenende.

  • Diese „Scheiße“ nennt sich 2FA und ist in der heutigen Zeit Standard. Abstellen lässt sie sich (bei netcup) nicht.

    [RS] 2000 G11 | 1000 G11 | 500 G8 | 2x Cyber Quack | Vincent van Bot

    [VPS] 2000 ARM G11 | 1000 G9 | mikro G11s | 4x nano G11s
    [WH] 8000 SE | 4000 SE | 2000 SE

    Like 6
  • Im CCP lässt sich aber ein TOTP Device registrieren. So kann man zumindest den Weg über die E-Mail vermeiden. Möchte man es sich besonders einfach machen, dann kann man das TOTP Secret auch in einem entsprechenden Passwort Manager hinterlegen und sich dann zusammen mit dem hinterlegten Passwort anmelden. Bei einem 45-stelligen Passwort wird vermutlich sowieso ein Passwort Manager zum Einsatz kommen. Die gängigen Passwort Manager bietet das eigentlich alle an.

  • Hallo Paul.

    Danke, mit dieser Antwort kann ich schon einmal etwas anfangen und werde mir das einmal genauer anschauen.

    Ja, ich verwende Steganos Security Suite und lasse mir die Passwörter durch das Programm erstellen und verwalten.


    Hat jemand eine Ahnung, wieviele Zeichen maximal bei einer Emailadresse eingegeben werden können ?

  • 2FA kann schon nerven, aber wie bereits erwähnt über ein Passwort Manager noch relativ einfach zu handhaben.

    In der beschreibung von Steganos lese ich das aber so heraus, das man seinen SAFE mit 2FA sichern kann. Nicht das er die 2FA auch verwaltet.



    Bin immer wieder baff wie hier einige mit den RFC's umsich werfen, wie könnt Ihr euch das ganze Zeugs merken ^^

  • In der beschreibung von Steganos lese ich das aber so heraus, das man seinen SAFE mit 2FA sichern kann. Nicht das er die 2FA auch verwaltet.

    Der ist teuer, aber wenigstens bekommt man nicht viel für's Geld...

    Nein, der kann TOTP wirklich nicht verwalten.

  • Na die Anleitung für Dummies, was ich runterladen und wie ich es konfigurieren muss, dass mich das Token nicht mehr stört.

    Bei Windows PC startet man in die Eingabeaufforderung und schreibt format c: und bestätigt das ganze.

    Das sollte vorrübergehend die Token abfragen an deinem PC beseitigen.

  • Und NEIN, ich benötige alternativ auch keine 2-Faktor-Authentifizierung.

    Wie Bud bereits geschrieben hat ist das bei netcup aus Sicherheitsgründen Pflicht, genauso wie bei jeder Bank, Paypal, ...

    Ich selbst aktiviere das auch überall wo es noch nicht verpflichtend ist.

    Beispielsweise das "CCP" eines anderen Hosters, mein Bahn-Account, Booking-Portal, ...


    Hier beim netcup CCP geht es um Deine Daten - von der Bankverbindung, der Möglichkeit in Deinem Namen dicke Server zu kaufen und nach (oftmals) kurzer Einrichtungszeit in Deinem Namen zu nutzen, über die Domaintransfervollmacht über sämtliche Deiner Domains, E-Mailverwaltung, Webseitenverwaltung und vielem mehr. Ohne Mehrfaktor-Authentifizierung wäre mir das heutzutage zu unsicher. => kurzum "God-Mode" ;)

    Die gängigen Passwort Manager bietet das eigentlich alle an.

    Unabhängig von Passwortmanagern gibt es auch genügend kostenlose Apps und Anwendungen die das TOTP-Verfahren unterstützen.

    Gerade wenn man noch nicht so viele Accounts irgendwo hat und den Browser als Passwortmanager nutzt, ist das ein schneller Einstieg:


    Android z.B. Aegis

    Windows z.B. WinAuth (etwas älter, aber dennoch jünger als der Standard...)

    Linux z.B. OTPClient


    zur Apple-Welt kann ich nichts sagen... :S

  • Ich muss sagen ich finde deine Ausdrucksweise extrem unfreundlich und bedenklich.


    Mag ja sein das sie dich nerven aber trotzdem kein Grund pampig zu werden oder irgendwas "töten" zu wollen.



    Deine Probleme hätte ich gerne, wenn es Dich bereits schon stört, wenn man ein nervtötendes Sicherheitsmerkmal "töten" möchte, wegen dem ich alleine schon nur heute insgesamt zehn Emails löschen musste, nachdem ich dieses schwachsinnige Token kopiert habe.
  • Für Netcup ist es im geschäftlichen Interesse das ihre Kunden gute Sicherheitspraktiken nutzen. Geklaute oder "gehackte" Passwörter und Accounts bedeuten Ärger mit Abuse, genervten Kunden, Kunden die gerne eine Wiederherstellung von xy wollen und das alles natürlich möglichst kostengünstig oder am besten kostenlos. Manche kommen vermutlich auch daher und wollen Geld für die Unannehmlichkeiten ...

    Das alles kann man drastisch reduzieren wenn man 2FA verplichtend macht. Was sie ja mit der Einführung der Code Mails effektiv gemacht haben. Ich denke schon das es Absicht ist das es nicht deaktivierbar ist. Denn es gibt vermutlich schon eine gute Schnittmenge zwischen denen mit schlechtem Passwort oder schlechter Passwort Lagerung und denen die von jeder Form von 2FA genervt sind. Und wenngleich es beim einzelnen vielleicht nie schief geht wird es über die Gesamtheit aller Kunden schief gehen.



    Was ich mir jedoch wünschen würde wäre die Unterstützung von FIDO2. Das würde es nochmal sicherer und einfacher machen für die Leute die ihren Account tatsächlich ordentlich absichern wollen. Einfach nur noch auf den YubiKey oder ein anderes Produkt einer anderen Marke drücken und schon hat man die Bestätigung. :)